La consapevolezza e l’educazione sulla cybersecuirity sono fondamentali per prevenire gli attacchi informatici all’interno di un ambiente lavorativo. Ci sono alcuni modi in cui un dipendente potrebbe, anche involontariamente, causare un cyber attacco alla propria organizzazione. Ecco alcuni esempi:
- Click su link malevoli o allegati dannosi: un semplice clic potrebbe innescare un malware che compromette l’integrità del sistema informatico.
- Uso di password deboli e uguali per i vari account: questa pratica aumenta il rischio di subire attacchi come il credential stuffing. Le password deboli rappresentano un’opportunità per i cyber criminali.
- Essere vittima di tecniche di social engineering: i malintenzionati potrebbero sfruttare la fiducia e la mancanza di conoscenza di queste tecniche da parte dei dipendenti per ottenere dati personali come password o informazioni finanziarie.
- Installazione di software non autorizzati: questa pratica potrebbe aprire la porta a malware e backdoor indesiderati se un dipendente utilizza software non autorizzati in ambito lavorativo e senza avere abbastanza conoscente informatiche (questo è il fenomeno dello Shadow IT)
- Uso di reti Wi-Fi pubbliche non sicure: i dati trasmessi attraverso queste reti possono essere facilmente intercettati da altri soggetti.
- Ignorare le politiche di sicurezza aziendale: un atteggiamento di questo tipo può mettere a rischio l’intera infrastruttura IT (cybersecurity) dell’azienda.
- Uso di dispositivi di archiviazione non crittografati: i dati conservati su dispositivi di archiviazione non crittografati permettono al malintenzionato di accedere facilmente ai dati senza dover scoprire la chiave.
- Condivisione di dati aziendali su dispositivi personali: questo può rappresentare un serio rischio di perdita o fuga di dati.
- Ignorare gli aggiornamenti dei sistemi: non mantenere i sistemi aggiornati espone l’infrastruttura IT a maggiori rischi.
- Non segnalare eventi di phishing o attacchi informatici: ritardare la risposta ad un potenziale attacco può aggravarne le conseguenze, permettendo al cyber attacco di diffondersi o di causare ulteriori danni.
La prevenzione di queste potenziali minacce richiede un approccio proattivo alla formazione dei dipendenti, alla creazione di politiche di sicurezza robuste e all’implementazione di tecnologie di sicurezza avanzate. Ricordiamo che la sicurezza informatica non è solo una questione di tecnologia, ma anche di consapevolezza e comportamento adeguato da parte di tutti i membri dell’organizzazione.
Non a caso la normativa europea all’art. 29 (Regolamento (UE) 2016/679) recita:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
configurando quindi l’obbligo di formazione privacy e cybersecurity per il personale che ha accesso e gestice dati personali.
